事件查看器是Windows系統(tǒng)內(nèi)置的一個程序，它的作用就相當于一個監(jiān)視器，利用它用戶能全程跟蹤記錄Windows系統(tǒng)和應(yīng)用程序所發(fā)生的任何事件。要是計算機系統(tǒng)出了問題，通過查看事件查看器跟蹤記錄的事件內(nèi)容，就能追本求源弄清故障原因所在。

俗話說“常在江湖飄，哪有不挨刀”。計算機也是一樣，工作時間長了，各式各樣的故障現(xiàn)象總會不可避免。其實，故障現(xiàn)象并沒有可怕之處，可怕的是找不到故障的原因；要是能夠準確定位故障根源，那么再難的問題也就不是問題了。為了幫助大家快速定位計算機故障原因，本文下面就教大家如何使用常見的事件查看器來快速定位故障位置，尋找具體故障原因，日后大家再次碰到故障時就不用四處求人了。

認識事件查看器

事件查看器是Windows系統(tǒng)內(nèi)置的一個程序，它的作用就相當于一個監(jiān)視器，利用它用戶能全程跟蹤記錄Windows系統(tǒng)和應(yīng)用程序所發(fā)生的任何事件。要是計算機系統(tǒng)出了問題，通過查看事件查看器跟蹤記錄的事件內(nèi)容，就能追本求源弄清故障原因所在。盡管事件查看器程序早已出現(xiàn)在Windows XP系統(tǒng)中，不過由于當時該程序的功能很單一，幾乎沒有人把它當回事，而在Windows 7系統(tǒng)環(huán)境中，事件查看器的功能有了明顯增強，巧妙使用這些增強的功能可以大大提升故障排查效率。

例如，計算機系統(tǒng)運行時間一長，用戶就會感覺到它的反應(yīng)逐步變得遲鈍起來，特別是每次開機啟動時都要等上很長一段時間，類似這樣的計算機故障往往很難定位到具體的原因。不過，現(xiàn)在有了事件查看器程序后，它能詳細記錄Windows系統(tǒng)和應(yīng)用程序所進行的每一項操作，通過深入分析事件內(nèi)容，往往就能找出影響系統(tǒng)正常啟動的“禍首”。

在Windows 7系統(tǒng)中，查看事件查看器的操作很簡單，只要先用鼠標右鍵單擊系統(tǒng)桌面中的“計算機”圖標，執(zhí)行快捷菜單中的“管理”命令，切換到本地系統(tǒng)的計算機管理窗口，在該窗口左側(cè)區(qū)域依次展開“系統(tǒng)工具”|“事件查看器”節(jié)點（如圖1所示），從目標節(jié)點下用戶能查看系統(tǒng)日志、應(yīng)用程序和服務(wù)日志、自定義的日志以及安全日志等內(nèi)容，通過應(yīng)用程序日志可以了解應(yīng)用程序或一般程序的事件，通過安全性日志可以了解比方說有效和無效的登錄嘗試等安全事件，以及與資源使用有關(guān)的事件，例如創(chuàng)建、打開或刪除文件以及有關(guān)設(shè)置的修改，通過系統(tǒng)日志可以了解Windows系統(tǒng)組件所發(fā)生的任何事件，包括系統(tǒng)啟動期間要加載的驅(qū)動程序或其他系統(tǒng)組件的故障。

事件查看器可以顯示的事件類型包括警告、錯誤、信息、成功審核、失敗審核這幾種，其中警告類型顯示的是不是很重要但未來容易發(fā)生問題的事件，比方說一旦硬盤空間容量很小時，系統(tǒng)就會生成一個警告事件。錯誤類型顯示的是系統(tǒng)中重要的問題，比方說數(shù)據(jù)丟失或功能損失，例如要是在系統(tǒng)啟動過程中服務(wù)啟動失敗，系統(tǒng)就會記錄這個錯誤。信息類型顯示的是應(yīng)用程序、驅(qū)動程序或服務(wù)成功操作的事件，比方說成功地啟動網(wǎng)絡(luò)驅(qū)動程序時，系統(tǒng)會自動生成一個信息記錄事件。成功審核類型顯示的是審核安全訪問嘗試成功，比方說將用戶成功登錄到系統(tǒng)上的嘗試作為“成功審核”事件記錄下來。失敗審核類型顯示的是審核安全訪問嘗試失敗，比方說要是用戶試圖訪問網(wǎng)絡(luò)驅(qū)動器失敗，該嘗試就會作為“失敗審核”事件進行記錄。

選中某個類型的日志記錄，用鼠標雙擊該記錄，就能看到其詳細內(nèi)容，具體的內(nèi)容包括事件的發(fā)生源、事件發(fā)生日期、種類和ID以及相關(guān)的描述信息，這些內(nèi)容對定位故障原因是十分重要的。

搜索有用事件

由于事件查看器會對計算機的一舉一動進行跟蹤記憶，那么系統(tǒng)生成的事件類型和數(shù)量自然是非常多，如果逐一對每個事件內(nèi)容進行查看，工作量顯然是相當大的，而且不利于快速找到真正的故障原因。為了提高故障解決效率，我們常常要根據(jù)實際需求搜索有用的事件。

在執(zhí)行事件搜索操作時，可以依次單擊“開始”|“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入“eventvwr”命令并回車，切換到系統(tǒng)事件查看器界面。展開Windows日志節(jié)點，選中合適的日志類型，例如發(fā)現(xiàn)系統(tǒng)啟動比較緩慢時，可以選中“系統(tǒng)”選項，用鼠標右鍵單擊該選項，執(zhí)行快捷菜單中的“篩選當前日志”命令，打開如圖2所示的日志篩選對話框。

其次設(shè)置好所要搜索的事件類型，比方說“警告”或“錯誤”，選擇好事件發(fā)生的時間，例如計算機系統(tǒng)昨天工作狀態(tài)正常，今天出了問題，那么就可以從“記錄時間”下拉列表中選中“近24小時”，之后設(shè)置好事件來源和事件類別等參數(shù)，確認之后事件查看器程序就會按照既定的要求執(zhí)行搜索操作了，同時會將符合相關(guān)條件的所有事件顯示出來。

比方說，現(xiàn)在我們很想知道究竟是什么原因造成了系統(tǒng)啟動緩慢現(xiàn)象，那么可以利用事件查看器程序?qū)⑴c系統(tǒng)啟動有關(guān)的事件記錄全部搜索出來。由于與系統(tǒng)啟動有關(guān)的事件任務(wù)類別ID為101-110，我們只要在圖2界面的“包括/排除事件ID”文本框中輸入“101-110”，確認之后就能搜索到所有與啟動性能有關(guān)的事件記錄了，對這些記錄內(nèi)容進行認真分析，多半就能讓造成系統(tǒng)啟動緩慢的元兇現(xiàn)形了。

定位解決故障

篩選出有用的事件記錄后，我們只要打開具體的事件屬性框，多半就能找到造成故障的詳細原因了，根據(jù)故障原因按圖索驥，很快就能將問題解決了。例如，打開ID102的某個事件屬性對話框時，我們可能會看到某個設(shè)備驅(qū)動程序啟動時間比正常時間超過了幾秒鐘，造成了系統(tǒng)啟動十分緩慢。出現(xiàn)這種問題的原因，很可能是設(shè)備使用的驅(qū)動程序存在BUG，要想解決這種問題，可以從設(shè)備的官方網(wǎng)站中下載獲取通過WDM認證的驅(qū)動程序。之后，依次單擊“開始”|“運行”命令，在彈出的系統(tǒng)運行框中執(zhí)行“devmgmt. msc”命令，打開系統(tǒng)設(shè)備管理器窗口，從中找到并雙擊目標設(shè)備，切換到對應(yīng)設(shè)備的屬性對話框，選擇“驅(qū)動程序”標簽，在如圖3所示的標簽頁面中，按下“更新驅(qū)動程序”按鈕，導(dǎo)入之前獲取的已通過WDM認證的驅(qū)動程序，就能讓系統(tǒng)啟動提速。

打開I D103的某個事件屬性對話框時，我們可能會看到某個系統(tǒng)服務(wù)啟動花費的時間超過了正常時間，這也會造成系統(tǒng)啟動變慢。要想解決由這種因素引起的計算機故障，可以依次單擊“開始”|“運行”命令，在彈出的系統(tǒng)運行框中執(zhí)行“services.msc”命令，切換到系統(tǒng)服務(wù)列表界面，從中找到并雙擊目標系統(tǒng)服務(wù)，進入對應(yīng)服務(wù)選項的設(shè)置對話框（如圖4所示），按下“停止”按鈕，同時將服務(wù)啟動類型選擇為“禁用”，確認之后就能提高系統(tǒng)啟動速度。同樣地，對于發(fā)現(xiàn)到的影響系統(tǒng)正常啟動的應(yīng)用程序，要是沒有必要跟隨Windows系統(tǒng)一起啟動的，完全可以禁止其開機啟動運行。要做到這一點，只要簡單地在系統(tǒng)運行對話框中，執(zhí)行“msconfig”命令，切換到系統(tǒng)實用程序配置對話框，選擇“啟動”標簽，在對應(yīng)標簽頁面中就能取消任何應(yīng)用程序的自啟動選項。

打開I D106的某個事件屬性對話框時，我們可能會看到系統(tǒng)背景優(yōu)化耗費的時間比較長，這也會引起系統(tǒng)啟動變慢現(xiàn)象。要想解決這類問題時，可以對Windows系統(tǒng)進行設(shè)置，實現(xiàn)關(guān)機自動清空預(yù)讀文件目的。在進行這種操作時，可以先手工創(chuàng)建一個文本文件，在文本編輯界面中，輸入如下命令代碼：

@echo off

del %systemroot%/Prefetch/*.* /q

在確認上述代碼輸入正確后，依次單擊“文件”|“保存”命令，將該代碼內(nèi)容存儲為“dump.bat”批處理文件。接著打開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車后，彈出系統(tǒng)組策略編輯窗口，將鼠標定位到“計算機配置”|“Windows設(shè)置”|“腳本”分支上，雙擊該分支下的“關(guān)機”項，在其后彈出的關(guān)機對話框中按下“添加”按鈕（如圖5所示），將之前生成的“dump.bat”文件導(dǎo)入進來，這樣Windows系統(tǒng)日后在關(guān)機時就會自動在后臺調(diào)用執(zhí)行“dump.bat”文件，清空預(yù)讀文件夾中的內(nèi)容，來提高系統(tǒng)啟動速度了。

遠程查看事件

在局域網(wǎng)工作環(huán)境中，普通客戶機經(jīng)常會發(fā)生各種各樣的故障現(xiàn)象，這時網(wǎng)絡(luò)管理員可以通過遠程查看事件的方法，來尋找故障客戶機的故障產(chǎn)生原因，并以此來解決網(wǎng)絡(luò)故障。在遠程查看故障客戶機的日志事件時，可以先按前面的操作方法，打開本地系統(tǒng)的事件查看器界面，用鼠標右鍵單擊“事件查看器（本地）”選項，從彈出的右鍵菜單中執(zhí)行“連接到另一臺計算機”命令，切換到“選擇計算機”對話框，如圖6所示。在這里我們只要選擇“另一臺計算機”選項，單擊對應(yīng)選項旁邊的“瀏覽”按鈕，從彈出的計算機選擇對話框中，導(dǎo)入故障客戶機的主機名稱，當然也可以直接輸入要查看的客戶機主機名稱。單擊“確定”按鈕后，打開故障客戶機的事件查看器界面，在該界面中我們就能進行更為詳細的條件設(shè)置。例如，在應(yīng)用程序日志上，執(zhí)行右鍵菜單中的“屬性”命令，進入應(yīng)用程序?qū)傩栽O(shè)置框，在常規(guī)標簽頁面中我們能看到應(yīng)用程序的名稱，創(chuàng)建、修改、訪問時間，我們可以對最大日志以及達到極限后的處理方法進行配置，要是我們不再需要個性設(shè)置時，不妨按下“還原為默認值”按鈕，來恢復(fù)到系統(tǒng)缺省的設(shè)置。切換到事件日志的“篩選器”標簽頁面，我們可以對日志中的事件進行篩選，我們可以在“事件類型”選項組中進行復(fù)選框的選擇，在“事件來源”|“類別”下拉列表框中可設(shè)置篩選具體條件，還可進行時間限定，當然，篩選并不會對日志的具體內(nèi)容產(chǎn)生影響，它只是改變了事件的顯示方式。找到故障客戶機的相關(guān)事件記錄后，對這些記錄認真加以分析，多半就能定位到具體的故障產(chǎn)生原因了。

追蹤重要事件

在內(nèi)網(wǎng)中同事之間相互交流共享信息是常有的事情，不過多數(shù)用戶不希望自己的重要內(nèi)容被人偷偷訪問，那么怎樣才能自動監(jiān)控是否有其他用戶偷偷訪問自己的共享文件夾呢？很簡單！只要使用事件查看器程序，就能輕松追蹤類似共享訪問之類的重要事件了。

比方說，自己的共享內(nèi)容全部存儲在F:\\aaa文件夾中，要監(jiān)控該文件夾的共享訪問事件時，可以依次單擊“開始”|“運行”命令，打開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車后，彈出系統(tǒng)組策略編輯窗口，將鼠標定位在該窗口左側(cè)區(qū)域的“計算機配置”|“Windows設(shè)置”|“安全設(shè)置”|“本地策略”|“審核策略”分支上，雙擊該分支下的“審核對象訪問”選項，彈出如圖7所示的選項設(shè)置對話框，同時選中“成功”、“失敗”等選項，確認之后開啟審核對象訪問的成功、失敗策略。

接著打開系統(tǒng)資源管理器窗口，找到保存了共享內(nèi)容的F:\\aaa文件夾，用鼠標右鍵單擊該文件夾，執(zhí)行右鍵菜單中的“屬性”命令，彈出目標文件夾屬性對話框。選擇“安全”標簽，點擊該標簽頁面中的“高級”按鈕，進入高級安全設(shè)置對話框。繼續(xù)選擇“審核”標簽，單擊該標簽頁面中的“添加”按鈕，從彈出的用戶或計算機選擇對話框中，導(dǎo)入要審核操作的用戶名，確認之后返回到審核項目列表框（如圖8所示），將其中的“讀取”和“讀取擴展屬性”的成功、失敗審核事件全部選中。

到了這里，事件查看器程序就能自動跟蹤F:\\aaa文件夾的任何訪問行為了。日后，需要了解是否有人偷偷訪問自己的共享文件夾時，只要按照前面的操作打開事件查看器程序界面，將鼠標定位到該界面中的“Windows日志”|“安全”分支上，雙擊該分支下顯示出來的審核事件，一旦看到有陌生用戶名稱出現(xiàn)時，那就說明共享文件夾被人偷偷訪問了。此外，按照同樣的操作方法，我們還能讓事件查看器程序自動追蹤、記錄應(yīng)用程序執(zhí)行事件、用戶賬號偷偷創(chuàng)建事件等。

任務(wù)綁定事件

與傳統(tǒng)操作系統(tǒng)相比，Windows 7的事件查看器程序新增了一個附加任務(wù)綁定事件功能，如此一來日后系統(tǒng)一旦發(fā)生重要事件時，就能自動觸發(fā)事先綁定的任務(wù)，實現(xiàn)自動報警功能，有利于用戶在第一時間發(fā)現(xiàn)故障、解決問題。例如，我們希望Windows 7系統(tǒng)在創(chuàng)建新用戶賬戶后，自動彈出報警提示框，向我們及時發(fā)出提醒內(nèi)容，日后一旦有病毒木馬程序在系統(tǒng)后臺悄悄創(chuàng)建用戶賬戶時，我們就能及時得到這一消息，也好做到心中有數(shù)。要實現(xiàn)上述目的，可以按照如下步驟進行操作：

首先在Windows 7系統(tǒng)的開始搜索框中，執(zhí)行“secpol.msc”命令，彈出本地安全策略界面，將鼠標定位到該界面左側(cè)區(qū)域的“本地策略”|“審核策略”分支上，雙擊“審核賬戶管理”選項，彈出審核賬戶管理對話框，選中“成功”復(fù)選項來開啟策略，這樣就能審核用戶賬戶創(chuàng)建成功時的事件類型了。

其次依次單擊“開始”|“控制面板”命令，打開系統(tǒng)控制面板窗口，任意創(chuàng)建一個用戶賬戶，這樣可以手動觸發(fā)一個新建用戶賬戶的事件，該事件是為附加特定任務(wù)而運行的。

接著按照之前的操作打開事件查看器界面，逐一展開“Windows日志”|“安全”分支，該分支下能看到與系統(tǒng)安全有關(guān)的事件，從中找到剛才生成的用戶賬戶的事件，用鼠標右鍵單擊該事件選項，執(zhí)行右鍵菜單中的“將任務(wù)附加到此事件”命令，彈出創(chuàng)建基本任務(wù)向?qū)гO(shè)置框，按“下一步”按鈕，隨后會出現(xiàn)一個提示框，這里主要提供一些用于確認的信息，要是沒有什么錯誤的話，繼續(xù)按“下一步”按鈕，打開如圖9所示的設(shè)置對話框，選中“顯示消息”選項，再設(shè)置好消息框的標題和報警內(nèi)容，最后按“完成”按鈕保存設(shè)置操作。這樣，日后每當系統(tǒng)中有新用戶賬戶被創(chuàng)建時，系統(tǒng)都能自動彈出對話框，提醒我們及時去檢查核對。

1

2

3

4

5

6

7

8

9